Los atacantes frecuentemente penetran en los sistemas de software introduciendo cadenas especiales de caracteres que explotan una vulnerabilidad de programación existente. Científicos informáticos del Centro de Seguridad de la Información, Privacidad y Responsabilidad (CISPA) de la Universidad de Saarland están desarrollando procedimientos de prueba para prevenir este tipo de abuso. Estas pruebas producen millones de entradas de programas válidos en cuestión de minutos. De esta manera, los investigadores pueden extraer automáticamente la información requerida del programa que están examinando.

Andreas Zeller, profesor de Ingeniería de Software de la Universidad de Saarland y investigador de la CISPA, está trabajando en descubrir vulnerabilidades de seguridad antes de que sean explotadas por ciberdelincuentes. "Los generadores de prueba modernos pueden generar entradas para el programa en cuestión a alta velocidad", explica Zeller. "Pero para que funcione, es esencial saber cómo se estructura la entrada para que el programa no permite entradas inválidas. Esto es precisamente lo que nuestros investigadores están trabajando, es decir, descifrar exactamente cómo necesitan ser construidas las entradas de estos programas".
Al mirar un determinado programa y sus entradas, Zeller y sus estudiantes de doctorado Matthias Hoeschele y Alexander Kampmann son capaces de extraer automáticamente una llamada "gramática sin contexto": Esta es una descripción de todas las entradas válidas para un programa específico, al igual que la gramática alemana es una descripción de oraciones correctas en el idioma alemán. Los investigadores de la CISPA también nombraron el sistema de software de concordancia que desarrollaron para este enfoque central. El prototipo se llama "Autograma", para "automático" y "gramática", y los primeros resultados ya se presentaron en septiembre de 2016, en la conferencia de Automated Software Engineering en Singapur.
"Con la gramática que Autogram genera, podemos producir millones de entradas válidas en minutos, lo que nos permite probar un programa de manera más exhaustiva", explica Zeller. La gran cantidad de intradas reduce considerablemente la probabilidad de pasar por alto las brechas de seguridad, según Zeller.
Para extraer la gramática de un programa específico, Autogram observa cómo el programa maneja una entrada dada. Diferentes partes de la entrada se procesan en diferentes partes del programa, lo que permite que el sistema Autogram recopile la información relevante - datos sobre la estructura de las entradas válidas y su relación con el código del programa. Las gramáticas extraídas son de hecho muy legibles para los seres humanos, ya que utilizan identificadores específicos del código del programa. "Actualmente, estamos probando nuestro prototipo permitiéndole analizar una amplia gama de formatos de entrada, como JSON o datos de la tabla. Utilizamos alrededor de mil entradas válidas como base", afirma Alexander Kampmann. Prospectivamente, estas entradas serán omitidas, sin embargo, de modo que en un paso siguiente la gramática se pudiera obtener directamente del programa.
Basados ​​en la gramática extraída, los investigadores pueden crear nuevas entradas de prueba que analizan el programa sistemáticamente. ¿Cómo se puede hacer esto de manera eficiente? se está investigando en su proyecto "tribble". "Tribble" utiliza las gramáticas proporcionadas por Autogram y luego compila sistemáticamente todas las variables de entrada y fragmentos de código válidos.
Los investigadores de seguridad de TI alrededor de Zeller ya tienen una amplia experiencia con pruebas basadas en la gramática. En 2012, presentaron su generador de pruebas LANGFUZZ, que analizó exhaustivamente el navegador web de Firefox, utilizando una gramática hecha a mano en ese momento. LANGFUZZ ha estado en uso diario con los desarrolladores de Firefox durante cuatro años, y con su ayuda, hasta ahora se han identificado y corregido más de 4.000 errores y lagunas de seguridad.
Así que ahora los investigadores de Saarbruecken están ampliando su gama, desde Firefox a prácticamente cualquier programa y formato de entrada. "El objetivo a largo plazo son pruebas de seguridad totalmente automatizadas, aplicables a todos, desde el más pequeño gadget de Internet de Cosas hasta servidores completos", dice Zeller.

Más información